不安全的 Adobe Server 暴露750万名Creative Cloud 服务用户的信息

代码卫士 2022-05-23

聚焦源代码安全，网罗国内外最新资讯！

作者：Swati Khandelwal

编译：奇安信代码卫士团队

本月初，Adobe 公司发生严重的安全事件，其热门的 Creative Cloud 服务的用户记录数据库遭暴露。

Adobe Creative Cloud（或称 Adobe CC）的用户约为1500万人。作为一种订阅服务，它可使用户访问该公司的整套桌面和移动版流行创意软件，包括 Photoshop、Illustrator、Premiere Pro、InDesign、Lightroom等。

本月初，安全研究员 Bob Diachenko 和网络安全公司 Comparitech 披露了一个属于 Adobe Creative Cloud 订阅服务的不安全的 Elasticsearch 数据库，任何人无需任何密码或身份验证均可访问。

这个被暴露的数据库的安全现已得到加固，包括近750万名 Adobe Creative Cloud 用户账户的个人信息。被暴露的信息包括用户的邮件地址、账户创建日期、锁订阅的 Adobe 产品、订阅状态、支付状态、会员 ID、国别、最后一次登录的时间、是否为 Adobe 员工等。

由于这个配置错误的云数据库中并未包含密码或金融信息如信用卡卡号，但被暴露数据库的严重程序已经足以导致用户遭受高度针对性的钓鱼攻击。

10月19日，Diachenko 将问题告知 Adobe 公司。后者快速响应并在同一天关闭了对该数据库的公开访问权限，并发布声明称，“该问题并未和或影响任何 Adobe 核心产品或服务的语音。我们正在审计开发进程以阻止类似事件的再次发生。”

然而，目前尚不清楚这个被暴露的数据库在被发现之前已暴露多久的时间。

目前尚不清楚除了研究员外是否出现越权访问情况，以防万一，用户应当检查是否收到钓鱼邮件，因为这是网络犯罪分子诱骗用户暴露密码和金融信息的下一步。

尽管该数据库并未暴露任何金融信息，但用户应该时刻保持警醒，随时留意自己的银行和支付卡余额。另外，用户应当使用 Adobe 提供的双因素认证机制让账户更加安全。

推荐阅读

Adobe 修复82个产品问题，含45个严重漏洞

原文链接

https://thehackernews.com/2019/10/adobe-database-leaked.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。